Com migrar al nou estàndard ISO/IEC 27001-2013

04/12/2013
Imagen de la noticia
El mes d’octubre es va publicar la ISO 27000:2013, amb alguns canvis en esta norma per a gestionar la seguretat de la informació. A partir d’este canvi i de la migració que han de fer les empreses per a adoptar este nou estàndard, la BSI va publicar una guia de transició cap a la ISO 27001:2003, en la qual se la compara amb la seua antecessora.

Val la pena recordar que ISO/IEC 27001:2013 és un conjunt de lineaments que especifica els requisits per a establir, implementar, mantindre i millorar un sistema de gestió de seguretat de la informació (SGSI). Estos requisits descriuen quin és el comportament esperat del sistema de gestió una vegada que estiga en ple funcionament.

La revisió de la família de normes ISO 27000, no va ser només sobre la ISO/IEC 27001 també va cobrir ISO/IEC 27003 que és una guia d’implementació del SGSI; ISO/IEC 27004 amb informació sobre el monitoratge i els mesuraments sobre el SGSI i la ISO/IEC 27005 amb tots els lineaments per a gestió de riscos de seguretat de la informació.

Com a part d’esta guia de transició es fa una descripció de cada una de les seccions i els seus principals canvis. També es dedica una secció als renovats annexos d’ISO/IEC 27001-2013. L’annex A conté una referència als controls i als objectius de control que es deriven de la ISO/IEC 27002:2013. Recordem que els controls es van reduir de 133 a 114.

Un altre dels canvis interessants en els annexos, és l’adopció de l'annex SL que descriu els lineaments per a un sistema de gestió genèric; açò és una bona notícia per a les organitzacions que operen els sistemes integrats de gestió, és a dir, els sistemes de gestió que complixen diverses normes, com la ISO 9001 (qualitat), ISO 22301 (continuïtat del negoci), així com la norma ISO/IEC 27001. A més, amb haver-se alineat amb els principis i les orientacions donades en la Norma ISO 31000 (gestió del risc), ara una organització pot aplicar la mateixa metodologia d’avaluació de riscos a través de diverses disciplines.

Per on començar la migració?

Un punt raonable per a començar és fent una anàlisi entre les diferències existents entre el SGSI que està implementat en l’organització i la nova versió de la norma. Saber el nivell de compliment pot ser d’ajuda, ja que permet identificar les àrees amb informació documentada existent que és necessari canviar.

L’estratègia de transició pot anar des de modificar la documentació i els processos per a complir els nous requeriments o fer canvis per a millorar el SGSI, d’acord amb els nous plantejaments de la norma. Si bé els dos camins poden conduir al compliment dels requeriments de la norma, la qual cosa significa el certificat, la quantitat de canvis necessaris influiran en el temps per a complir els nous requisits.

De nou recordem que seguir al peu de la lletra un estàndard no garantix la seguretat de la informació. Però és important per a gestionar la seguretat tindre en compte els nous conceptes i enfocaments que tenen estàndards com la família ISO 27000, no en va és un dels estàndards més implementats en el món.

Font: ESET